10 種保護 Spring Boot 應用的絕佳方法

時間 2019-11-19

原文原文鏈接

原文：developer.okta.com/blog/2018/07/30/10-ways-to-secure-spring-boot
譯文：www.jdon.com/49653web

Spring Boot大大簡化了Spring應用程序的開發。它的自動配置和啓動依賴大大減小了開始一個應用所需的代碼和配置量，若是你已經習慣了Spring和大量XML配置，Spring Boot無疑是一股清新的空氣。面試

Spring Boot於2014年首次發佈，自那之後發生了不少變化。安全性問題與代碼質量和測試很是類似，已經日漸成爲開發人員關心的問題，若是你是開發人員而且不關心安全性，那麼也許認爲一切理所固然。本文目的是介紹如何建立更安全的Spring Boot應用程序。spring

馬特雷布爾與Simon Maple合做完成了這篇文章，他們都是爲安全公司工做，熱愛Java，並但願幫助開發人員建立更安全的應用程序。咱們認爲撰寫這篇文章將是回饋社區的有趣方式。編程

1.在生產中使用HTTPS

傳輸層安全性（TLS）是HTTPS的官方名稱，你可能據說過它稱爲SSL（安全套接字層），SSL是已棄用的名稱，TLS是一種加密協議，可經過計算機網絡提供安全通訊。其主要目標是確保計算機應用程序之間的隱私和數據完整性。瀏覽器

過去，TLS / SSL證書很昂貴，並且HTTPS被認爲很慢，如今機器變得更快，已經解決了性能問題，Let's Encrypt提供免費的TLS證書,這兩項發展改變了遊戲，並使TLS成爲主流。安全

截至2018年7月24日，Google Chrome 將HTTP網站標記爲「不安全」。雖然這在網絡社區引發了至關多的爭議。知名安全研究員特洛伊亨特建立了一個爲何不適用HTTPS？跟蹤不使用HTTPS的大型網站的網站。服務器

Let’s Encrypt TLS證書能夠自動化生成和更新，因爲他們是免費的，因此沒有理由不去作！Spring Boot Secured By Let’s Encrypt的加密是如何作到這一點的有用指南。微信

要在Spring Boot應用程序中強制使用HTTPS，您能夠擴展WebSecurityConfigurerAdapter並要求安全鏈接。cookie

@Configuration
public class WebSecurityConfigurerAdapter extends WebSecurityConfigurerAdapter {

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.requiresChannel().requiresSecure();
    }
}

另外一個重要的事情是使用HTTP嚴格傳輸安全性（HSTS）。HSTS是一種Web安全策略機制，能夠保護網站免受協議降級攻擊和cookie劫持。服務器使用名爲Strict-Transport-Security的響應頭字段將HSTS策略傳送到瀏覽器。Spring Security默認發送此標頭，以免在開始時出現沒必要要的HTTP躍點，點擊這裏一分鐘開啓Tomcat https支持。網絡

2.使用Snyk檢查你的依賴關係

你極可能不知道應用程序使用了多少直接依賴項，這一般是正確的，儘管依賴性構成了整個應用程序的大部分。攻擊者愈來愈多地針對開源依賴項，由於它們的重用爲惡意黑客提供了許多受害者，確保應用程序的整個依賴關係樹中沒有已知的漏洞很是重要。

Snyk測試你的應用程序構建包，標記那些已知漏洞的依賴項。它在儀表板在應用程序中使用的軟件包中存在的漏洞列表。

此外，它還將建議升級的版本或提供補丁，並提供針對源代碼存儲庫的拉取請求來修復您的安全問題。Snyk還確保在你的存儲庫上提交的任何拉取請求（經過webhooks）時都是經過自動測試的，以確保它們不會引入新的已知漏洞。

天天都會在現有項目和庫中發現新的漏洞，所以監控和保護生產部署也很重要。Snyk拍攝快照並監控你的部署，以便在發現新漏洞時，你能夠經過JIRA，slack或電子郵件自動收到通知，並建立拉取請求以提供新漏洞的升級和補丁。

Snyk可經過Web UI和CLI得到，所以您能夠輕鬆地將其與CI環境集成，並將其配置爲在存在嚴重性超出設定閾值的漏洞時中斷構建。

你能夠無償使用Snyk進行開源項目或使用有限數量的私有項目。

3.升級到最新版本

按期升級應用程序中的依賴項有多種緣由。安全性是讓您有升級動力的最重要緣由之一。該start.spring.io起始頁面採用了最新的春季版本的軟件包，以及依賴關係，在可能的狀況。

基礎架構升級一般不如依賴項升級具備破壞性，由於庫做者對向後兼容性和版本之間的行爲更改的敏感性各不相同。話雖如此，當你在配置中發現安全漏洞時，您有三種選擇：升級，修補程序或忽略。

在對應用程序進行必要的更改以使用較新版本以後，就應用程序的總體運行情況而言，升級是最安全的。

4.啓用CSRF保護

跨站點請求僞造(Cross-Site Request Forgery )是一種攻擊，強制用戶在他們當前登陸的應用程序中執行不須要的操做。若是用戶是普通用戶，一個成功攻擊可能涉及請求的狀態更改，如轉移資金或更改其電子郵件地址，若是用戶具備提高管理員的權限，則CSRF攻擊可能會危及整個應用程序。

Spring Security具備出色的CSRF支持，若是您正在使用Spring MVC的標籤或Thymeleaf @EnableWebSecurity，默認狀況下處於啓用狀態，CSRF令牌將自動添加爲隱藏輸入字段。

若是你使用的是像Angular或React這樣的JavaScript框架，則須要配置CookieCsrfTokenRepository以便JavaScript能夠讀取cookie。

@EnableWebSecurity
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http
            .csrf()
                .csrfTokenRepository(CookieCsrfTokenRepository.withHttpOnlyFalse());
    }
}

若是你正在使用Angular，這就是你須要作的。若是您使用的是React，則須要讀取XSRF-TOKENcookie並將其做爲X-XSRF-TOKEN標題發回。

當請求經過HTTPS發生時，Spring Security會自動加入一個secure標識到XSRF-TOKENcookie 。Spring Security對於CSRF cookie不使用SameSite=strict 的標誌，但它在使用Spring Session或WebFlux會話處理時會使用，這對會話cookie有意義，由於它有助於識別用戶，可是沒有爲CSRF cookie提供太多價值，由於CSRF令牌也須要在請求中。點擊這裏瞭解CSRF更多詳情。

5.使用內容安全策略防止XSS攻擊

內容安全策略（CSP）是一個增長的安全層，可幫助緩解XSS（跨站點腳本）和數據注入攻擊。要啓用它，你須要配置應用程序以返回Content-Security-Policy標題。你還能夠在HTML頁面中使用標記。

Spring安全性默認提供了許多安全標頭：

Cache-Control: no-cache, no-store, max-age=0, must-revalidate
Pragma: no-cache
Expires: 0
X-Content-Type-Options: nosniff
Strict-Transport-Security: max-age=31536000 ; includeSubDomains
X-Frame-Options: DENY
X-XSS-Protection: 1; mode=block

Spring Security * 默認狀況下不添加 CSP。你可使用如下配置在Spring Boot應用程序中啓用CSP標頭。

@EnableWebSecurity
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.headers()
            .contentSecurityPolicy("script-src 'self' https://trustedscripts.example.com; object-src https://trustedplugins.example.com; report-uri /csp-report-endpoint/");
    }
}

CSP是防止XSS攻擊的良好防護，請記住，打開CSP能讓CDN訪問許多很是古老且易受攻擊的JavaScript庫，這意味着使用CDN不會爲安全性增長太多價值。點擊這裏瞭解XSS更多詳情。

你能夠在securityheaders.com測試你的CSP標頭是否有用。

6.使用OpenID Connect進行身份驗證

OAuth 2.0是行業標準的受權協議。它使用scope來定義受權用戶能夠執行的操做的權限。可是，OAuth 2.0不是身份驗證協議，而且不提供有關通過身份驗證的用戶的信息。

OpenID Connect（OIDC）是一個OAuth 2.0擴展，提供用戶信息，除了訪問令牌以外，它還添加了ID令牌，以及/userinfo能夠從中獲取其餘信息的端點，它還添加了發現功能和動態客戶端註冊的端點。

若是使用OIDC進行身份驗證，則無需擔憂如何存儲用戶、密碼或對用戶進行身份驗證。相反，你可使用身份提供商（IdP）爲你執行此操做，你的IdP甚至可能提供多因素身份驗證（MFA）等安全附加組件。

要了解如何在Spring Boot應用程序中使用OIDC，請參閱Spring Security 5.0和OIDC入門。要總結如何使用它，你須要向項目添加一些依賴項，而後在application.yml文件中配置一些屬性。

spring:
  security:
    oauth2:
      client:
        registration:
          okta:
            client-id: {clientId}
            client-secret: {clientSecret}
            scope: openid email profile
        provider:
          okta:
            issuer-uri: https://{yourOktaDomain}/oauth2/default

注意：issuer-uri僅在Spring Security 5.1中支持使用，Spring Security 5.1正在積極開發中並計劃於2018年9月發佈。

你可使用像Keycloak這樣的開源系統來設置本身的OIDC服務器。若是你不想在生產中維護本身的服務器，可使用Okta的Developer API。

7.管理密碼？使用密碼哈希！

以純文本格式存儲密碼是最糟糕的事情之一。幸運的是，Spring Security默認狀況下不容許使用純文本密碼。它還附帶了一個加密模塊，可用於對稱加密，生成密鑰和密碼散列（也就是密碼編碼）。

PasswordEncoder 是Spring Security中密碼哈希的主要接口，以下所示：

public interface PasswordEncoder {
    String encode(String rawPassword);
    boolean matches(String rawPassword, String encodedPassword);
}

Spring Security提供了幾種實現，最受歡迎的是BCryptPasswordEncoder和Pbkdf2PasswordEncoder。

對於通常的密碼管理，咱們建議使用SCrypt或Argon2, SCrypt如今已通過時了（已經有一段時間了），而且有一個額外的複雜因素，BCrypt沒有這個因素，這使得暴力破解變得加倍地困難。它由着名的密碼學家/安全人員（Colin Percival）編寫，而且在幾乎全部編程語言中都有很好的庫，SCrypt也獲得Latacora的承認。

Spring Security 5.1（即2018年9月下旬）將附帶UserDetailsPasswordService API，容許您升級密碼存儲。